Niet hackers, maar medewerkers zelf zijn veelal verantwoordelijk voor een cyberaanval bij een gemeente. Dan gaat het niet zozeer om een vergissing, maar om medewerkers met verhoogde toegangsrechten en kwade bedoelingen. Dit type cyberaanval is uiterst gevaarlijk, omdat het zeer moeilijk is om deze ontdekken en er iets aan te doen.
Waarschuwing van Informatie Beveiligingsdienst
Daarvoor waarschuwt de 'Informatie Beveiligingsdienst (IBD)' in het rapport 'Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022'. Het adviesorgaan van de 'Vereniging Nederlandse Gemeenten (VNG)' gaat in het rapport in op de beveiligingsrisico’s van informatiebeveiliging voor de ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers.
Type cybercriminelen
Hackers, statelijke actoren, jongeren die zich vervelen, script kiddies (hackers die zich willen bewijzen) en medewerkers, grofweg zijn dit de vijf belangrijkste dadergroepen die verantwoordelijk zijn voor cyberaanvallen. Omdat steeds meer apparaten altijd verbonden zijn met het internet (denk aan automotive, domotica, Internet of Things toepassingen, computers en smartphones), is het zowel voor consumenten als het bedrijfsleven en andere organisaties belangrijker dan ooit om hun informatiebeveiliging op orde te hebben. Zo ook voor Gemeenten. Volgens het IBD vergt dit de “doorlopende aandacht van het management”.
Digitale veiligheidscultuur
“Het is zaak een digitale veiligheidscultuur te cultiveren waarin veilig werken beloond wordt, medewerkers niet schromen om onveilige situaties te melden en waarin onveilige situaties ook daadwerkelijk worden voorkomen of verholpen.” Toch komt het af en toe voor dat medewerkers een datalek, hack of storing veroorzaken, al dan niet per ongeluk. Het is aan organisaties om dit zo goed mogelijk zien te voorkomen. Betrouwbaarheid, integriteit en beschikbaarheid -in het Engels ook wel CIA genoemd, wat staat voor Confidentiality, Integrity en Availability– zijn niet voor niets de pijlers van cybersecurity.
Transparantie is een belangrijke voorwaarde om lessen te trekken uit incidenten en toekomstige veiligheidsrisico’s te voorkomen. Organisaties durven zich hierover vaak niet uit te spreken, omdat de schuldvraag direct om de hoek komt kijken. Daar ligt een groot risico dat een toekomstig incident niet tijdig in kaart is gebracht. Dat probeert de IBD met haar Dreigingsbeeld te voorkomen.
Vier soorten dreigingen
De Beveiligingsdienst onderscheidt vier typen dreigingen. Het grootste deel van de veiligheidsincidenten vloeit voort uit externe bron en is ongericht. Dat zijn veelal geautomatiseerde bulkaanvallen, waarbij hackers scannen op bekende zwakheden bij organisaties die zijn aangesloten op het internet. Gemeenten die hierdoor getroffen worden hebben veelal domme pech. Als de daders erin slagen om ransomware of andere malware te installeren, kunnen de gevolgen desalniettemin groot zijn.
Een medewerker die een fout maakt en daardoor zijn organisatie blootstelt aan cybercriminelen, is de tweede categorie. Dit type dreiging wordt ook wel intern en onbedoeld genoemd. Daarbij kun je denken aan een medewerker die per ongeluk een bestand wist, een malafide link in een phishing e-mail opent of een ‘verloren’ USB-stick aansluit en opent.
Externe en gerichte aanvallen leveren volgens de IBD “spannende verhalen op in de media”, maar komen in praktijk naar verhouding vrij weinig voor. Dit komt omdat het ontdekken van dergelijke aanvallen “een hoog volwassenheidsniveau” vereisen waarin “monitoring en detectie en het controleren van losbestanden onderdeel zijn van de dagelijkse werkprocessen”. Het IBD zegt regelmatig van dit soort meldingen te krijgen, maar vormt naar eigen zeggen niet het grootste veiligheidsrisico voor gemeenten.
De meest riskante dreiging komt volgens het IBD van binnen de ambtelijke organisatie en wordt bewust uitgevoerd. “Medewerkers met kwade bedoelingen kunnen uit hoofde van hun functie bij veel gegevens en systemen. Vooral medewerkers met verhoogde toegangsrechten zoals ICT-beheerders en management kunnen grote schade aanrichten”, zo schrijft de Beveiligingsdienst. Dit type dreiging is zeer lastig te detecteren, omdat de medewerkers de interne processen en controlemechanismen kennen en weten te omzeilen. Daar komt bij dat veel ambtelijke organisaties slecht inzichtelijk hebben wie er toegang heeft tot welke informatie en systemen.
In de eerste helft van dit jaar deden zich volgens de IBD twee gevallen voor waarbij de dreiging van binnenuit kwam. Ambtenaren die dagelijks gebruikmaken van informatie- en communicatiesystemen om hun werk te doen, waren hiervoor verantwoordelijk.
De dienstverlening van de organisatie mag niet in gevaar komen. Daarom is het van groot belang dat informatiesystemen van gemeenten beschikbaar blijven. Zoals de kwetsbaarheden van Citrix hebben aangetoond, kan de bedrijfscontinuïteit in gevaar komen als systemen eruit liggen.
Een andere dreiging dat zich voordoet als de beveiliging van informatiesystemen niet op orde is, dat de integriteit van gegevens niet gewaarborgd kan worden. “Een kwaadwillende kan in zo’n geval gegevens wijzigen, wissen of toevoegen. Een onterechte factuur indienen of goedkeuren, vergunning verstrekken, een uitkering toewijzen, het bepalen van een hoogte van een vergoeding, het verstrekken van een paspoort: dat begint allemaal met het invoeren van gegevens in informatiesystemen”, zo benadrukt het IBD.
Gemeenten verwerken grote hoeveelheden vertrouwelijke informatie. Ze moeten er dan ook alles aan doen om ervoor te zorgen dat deze niet in de verkeerde handen belandt. Alleen medewerkers die toegang tot deze schat aan informatie nodig hebben om hun werk te kunnen doen, zouden toegang moeten hebben tot deze gegevens.
Regie risicomanagement
Wat kunnen gemeenten eraan doen om hun informatiebeveiliging op orde te brengen? Het IBD geeft diverse tips. Om te beginnen moeten gemeenten de regie voeren over hun risicomanagement. Het gaat dan om controleren en bijsturen van informatieprocessen. Techniek is een belangrijke factor om informatiesystemen te beschermen, maar vergeet de menselijke factor niet. Een toegangssysteem kan nog zo veilig zijn, maar als de verkeerde mensen toegang hebben, kan dat alles ondermijnd worden.
Verder pleit de IBD voor veilige gereedschappen, een open cultuur en dat gemeenten niet besparen op het beheer van ICT. Regelmatig cyberincident oefeningen houden en evalueren verbetert de crisisstructuur van de organisatie. Joost Gijzel stelt dat Gemeenten hier nu snel en praktisch invulling aan zouden moeten geven. “Veel van die zaken, bijvoorbeeld regie, incident en simulatie oefeningen, of nulmeting op de huidige omgevingen, liggen bij security specialisten zoals DataExpert al op de plank. Vooral binnen commerciële organisaties wordt dit al enkele jaren grondig uitgevoerd. Ik hoop dan ook van harte dat rapport Gemeenten beweegt om de aanwezige kennis en ervaring uit de markt gaan gebruiken en niet zelf het wiel opnieuw proberen uit te vinden. In deze tijd, met toenemende aanvallen en hoger dreigingsniveau kun je je die luxe niet permitteren. Dat risico zou je als Gemeente niet moeten willen.” aldus Joost Gijzel van DataExpert.
Bron: informatiebeveiligingsdienst.nl, vpngids.nl, dataexpert.nl